鏈上操作必備防坑指南_APP

本文系鏈捕手原創文章，作者為谷昱。

區塊鏈技術是當前時代最重要的創新之一，使得去中心化真正成為可能，任何人都對自己的鏈上資產享有絕對的控制權，外界無法進行任何干涉與操作。

這種權利相伴的則是責任，這意味著用戶需要對自己的資產安全負100%的責任，在私鑰保存、日常操作方面都需要格外注意，一旦私鑰或者助記詞失竊，所有資產都會面臨被盜風險。盡管許多項目方理論上能通過智能合約控制鏈上資產并找回被盜資產，但通常只會在黑客故意攻擊并造成大量損失時才會給予幫助，個人失誤造成的資產損失很難得到項目方的援助。

可以預見，未來越來越多的交易活動將向鏈上轉移，但不巧的是，鏈上騙局如今仍在大量出現，并衍生出許多新形式，多名讀者曾向鏈捕手反映遭遇鏈上詐騙并損失數萬元，但都已經無法挽回。為了幫助更多加密行業初入門者了解一些行業常識，避免踩坑，鏈捕手在本文中總結了一些常見的騙局手法，具體如下：

數據：Base鏈上TVL突破10萬枚ETH:金色財經報道，據L2BEAT最新數據顯示，Coinbase推出的L2區塊鏈Base鏈上TVL已突破10萬枚ETH，本文撰寫時達到107,146.34 ETH（按照當前價格計算約合1.98億美元）,位列當前以太坊Layer 2區塊鏈鎖倉量第五位，前四位分別為：Arbitrum One（59.4億美元，7日漲幅0.23%）；OP Mainnet（28.2億美元，7日降幅5.21%）；zkSync Era（4.33億美元，7日降幅7.10%）；dYdX（3.32億美元，7日降幅1.24%）。[2023/8/13 16:23:43]

一、假幣騙局

案例：小茗關注的項目正在進行IDO，在電報群看到有人發布了代幣智能合約地址，小茗將改地址在Uniswap輸入后發現已經可以交易，并且有價值大幾十萬元的流動性，隨即購買了1個ETH，但此后上漲1倍多并準備賣出時發現，系統提示無法賣出，相當于歸零。

Andre Cronje：Fantom鏈上費用銷毀的FTM已超1000萬枚:金色財經報道，Fantom創始人Andre Cronje（AC）在社交媒體發布了Fantom項目更新，主要內容包括：1、Gas貨幣化（Fantom將向符合條件的dApp補貼15%的Gas費用）；2、Fantom生態中16個活躍項目目前已賺取了2萬枚FTM；3、生態金庫通過孵化項目賺取的Gas費用已超過50萬枚FTM，目前任何人都可以申請且沒有限制；4、費用銷毀FTM已超1000萬枚；5、Fantom本屆黑客松吸引了855支隊伍參加；6、通過治理，將驗證者最低質押量減少至5萬枚FTM；7、一個以太坊客戶端團隊轉移到Fantom并構建了一個新的超優化客戶端，早期測試已經顯示吞吐量提高40%。

AC透露，Fantom即將發布2個重大里程碑，一個是Carmen，支持EVM優化的數據庫，將主網存儲減少98%，總體吞吐量提高9.8倍（讀和寫）；另一個是Tosca，總體增益比當前EVM架構提高50%，吞吐量提高4倍。[2023/6/25 21:57:53]

分析：這種情況屬于假幣騙局，某些詐騙集團會批量發行幣種并以關注度高的幣種為名字，并建立Uniswap交易池、注入一定流動性，意圖誤導用戶為真幣，然后在一些社交媒體渠道傳播智能合約地址。

鏈上數據顯示，FTX似乎已停止處理提款:金色財經報道，根據鏈上數據顯示，加密貨幣交易所FTX似乎已經停止處理客戶的提款請求。以太坊區塊鏈上FTX的最后一筆交易發生在18:37。但目前還有人在排隊等待他們的取款。FTX在Tron和Solana區塊鏈的地址也有類似的情況。[2022/11/8 12:33:44]

但這種代幣的智能合約代碼中實際上已經規定只允許發行方出售代幣，其他用戶只能買入不能出售，而用戶如果在社交媒體看到地址并信以為真，在買入其代幣后就只能坐視其上漲并最終歸零。

據鏈捕手觀察，大部分Uniswap上的假幣都是由一個特定詐騙集團發行，每個代幣發行方地址都能通過轉賬記錄相關聯，最近2個月至少發行了70余種假幣，獲利至少在4000ETH以上。

在具體手法方面，他們還會向被標記為幣安、V神與0x-b1的地址轉入部分假幣，以吸引這些地址關注者的注意；每次發行活動周期大概3-5天，先在Uniswap添加上百個ETH的流動性，待很少有購買用戶后撤出全部流動性，然后將所有ETH轉入新地址重新發行新幣，不定期還會通過Tornado.cash轉移資金。

RSS3與zkSync宣布完成鏈上數據的索引與集成:7月28日消息，今日RSS3和zkSync宣布正式達成合作關系。目前，RSS3已完成zkSync的鏈上數據索引與集成，用戶可以通過使用RSS3協議或者節點服務獲取zkSync鏈上的內容和數據。

zkSync作為一個開源的Layer2區塊鏈，通過其快速且價格低廉的特點，目前已處理超過1000萬筆的鏈上交易。zkSync是繼以太坊、幣安智能鏈、Polygon、Flow、Arbitrum、Avalanche和 Fantom等區塊鏈后，RSS3協議和節點支持的另一區塊鏈。雙方特有的優勢將為Web3帶來更多的可能性，為項目方和開發者提供簡單易用且成本極低的基礎設施選擇。

RSS3將能在其網絡中提供zkSync用戶的鏈上交易數據和社交信息，zkSync及其鏈上的生態項目和開發商也能通過RSS3為zkSync帶來更??多各種形式的feed的呈現可能性。同時，RSS3通過zkSync為生態系統中的應用程序帶來了新的快速、低成本、無需許可的選擇。[2022/7/28 2:44:04]

更具誤導性的是，這些詐騙集團還會制造某些巨鯨在購買這些幣種的假象。如下圖所示，該地址被廣泛認為由孫宇晨所有，擁有數十億美元的資產，而在十余天Etherscan顯示其地址從Uniswap購買了數種新幣。

動態 | BTC鏈上出現價值兩筆大額轉賬，總價值約8833萬美元:Whale Alert數據監測顯示，7月12日10:07:20比特幣鏈上出現兩筆大額轉賬，分別轉出2092枚BTC和5669枚BTC，均從火幣交易所分別轉入兩個未知錢包，總價值約8833.34萬美元[2019/7/12]

某些巨鯨地址跟蹤者看到這些記錄可能就會「跟單」，但如果點開其具體交易記錄，可見交易行為并非由該地址所有人發起，而是假幣發行方地址利用智能合約直接從Uniswap購買并將孫宇晨地址設為收幣地址所致。

除了孫宇晨地址以外，Etherscan顯示的許多ETH大戶地址都有類似情況發生。

因此，大家在Uniswap進行交易時務必要使用官方公布的合約地址，或者Uniswap推薦列表中的幣種，在其它渠道看到的智能合約地址要保持警惕，否則很可能會造成大量損失。

二、假APP騙局

案例1：小倪換了新手機，看到某個微信群有顯示為imtoken工作人員的用戶發布了一張快訊圖片，還附有APP下載鏈接，正好新手機還沒有下載imtoken，隨即掃碼下載其APP，輸入私鑰并導入錢包，但很快發現其地址的所有資產被轉出，損失近2萬元。

案例2：據《華盛頓郵報》報道，本月初有兩名用戶在蘋果應用商店搜索加密硬件錢包Treznor的名字時，出現了一款APP使用了與真Treznor極其相似的標志和顏色，盡管當時Treznor并未推出手機端APP，但他們誤以為Treznor的確推出了手機版，故而下載并導入私鑰，最終分別失竊17.1枚比特幣和價值1.4萬美元的ETH。

分析：私鑰與助記詞意味著對錢包資產的絕對控制權，因此很多騙局都在設法套取用戶私鑰，假冒官方APP則是其中最常見的手法，這種假APP或偽造為官方快訊誘導用戶下載，或為搜索引擎付費將假冒網站排名置前，或在蘋果/安卓官方應用商店上線重名的假APP，它們會高度模仿官方網站與圖片信息，一旦用戶下載APP并導入助記詞，錢包資產立即會被轉走。

因此，大家在下載錢包、交易所類APP時，切記要從官方渠道下載，并檢查網站域名等信息是否正確。

三、假客服騙局

案例：小詹在使用某DApp產品時遇到了問題，于是到電報群嘗試詢問官方人員，隨后有名用戶私聊他詢問情況，并告訴他可以私聊一名官方人員解決問題并發送賬戶名給小詹，于是小詹直接點擊賬戶名進入私聊界面。

這名官方人員很熱情地詢問小詹遇到了什么情況，表示這是由于項目數據庫問題并正在解決，但為了避免錯誤繼續發生，需要對賬戶進行重置并詢問小詹使用什么錢包，隨后給出鏈接并讓小詹輸入助記詞導入錢包以便進一步操作，但小詹此刻出于警惕性未進行下一步操作，避免了助記詞泄露。

分析：如今微信、電報等各大社群幾乎都存在偽裝為官方客服的賬戶，通過各種方式騙取用戶信任，盡可能將話題引向錢包并誘導用戶輸入助記詞或者私鑰，而一旦用戶輸入，所有資產很快會被轉走。

因此，大家在各類社群尋求幫助時，務必要確認對方身份，不確定身份時可以截圖發在群里請其他活躍用戶幫忙辨認，通常官方工作人員都會不主動私聊用戶并讓用戶輸入私鑰，而是在群聊中讓用戶主動私聊。

四、空投騙局

案例：小曦在微信群看到有人發布某知名項目空投信息，只要在在電報群完成幾個特定社交媒體任務，即可獲得上百美元的代幣獎勵，小曦按照電報機器人的提示全部完成，但之后機器人提示需要先發送少量代幣到合約地址才能領取空投代幣，考慮到成本不高，小曦按照要求打幣但之后并沒有收到空投代幣，反而白白損失十余美元。

分析：基于社交媒體任務的的代幣空投的確大量存在，因而容易降低用戶的警惕性，但也正是如此，很多騙子都會利用用戶的松懈心理實施騙局，利用空投來誘導用戶向智能合約打幣，盡管單筆金額通常不大，但聚少成多仍然相當可觀。

目前，還沒有任何真實空投活動需要用戶向外部錢包地址打幣才能領取，大家對于需要轉幣的空投活動應當直接無視。

五、幾點注意事項

除了前述故意實施的騙局需要防范，鏈上操作仍然還面臨許多由潛在的操作失誤造成的安全風險，主要有以下幾點：

第一，避免向DApp過度授權，定期清理授權。用戶在與某個DApp首次交互時需要進行授權，但其中會存在隱患，如果該DApp此后遭遇攻擊，將可以直接利用其權限盜取用戶資產，因此大家需要定期清理不常用的DApp權限或者設置代幣轉移量上限。

第二，盡可能避免使用未經安全公司審計代碼的DApp，特別是還聲稱具有高APY的DApp，其安全風險可能會導致本金的巨大損失。

第三，需要再次強調，注意保存地址私鑰與助記詞，最好保存在不聯網的硬件或者筆記本上，不向任何第三方透露私鑰與助記詞，這是所有安全措施中最重要的一點。

區塊鏈技術所衍生的巨大想象空間，以及更大規模的應用，都依賴于更多用戶擁有更高的鏈上操作素養與知識，而不至于使鏈上成為騙局橫生的法外之地，讓大量用戶無端遭遇巨大損失，因此前述科普與教育的意義也就格外凸顯。

Tags：APPzkSyncETHZKS超級黃金幣app下載zksync幣與zks幣Inverse Ethereum Volatility Index Tokenzks幣未來前景如何

USDT